DeepCorr - новая эффективная система для корреляции потоков в сети TOR

Корреляция потока представляет собой один из основных методов, используемых при деанонификации. Несмотря на то, что течения корреляционного потока очень важны, методы корреляции текущих потоков неэффективны для связывания потоков трафика Tor при их реализации в больших масштабах. Они требуют длительных наблюдений за потоком, что весьма непрактично, потому что сами наблюдения в основном показывают весьма ложные конечные показатели.

Как следует из недавно опубликованного доклада, благодаря новым механизмам обучения, течения корреляции потока могут выполняться на потоках трафика Tor с более высокой степенью точности, нежели раньше. Команда исследователей разработала систему, в разы превосходящую предыдущие методы корреляции сетевых соединений Tor, которую назвали «DeepCorr». DeepCorr использует инновационную систему глубокого изучения для определения функции корреляции потока, специально предназначенной для сети Tor. DeepCorr является полной противоположностью предыдущим методам, в которых использовались общие статистические показатели корреляции потоков трафика Tor.

Эксперименты исследователей показали, что при умеренном изучении DeepCorr эффективен в корреляции связей Tor и, таким образом, нарушает анонимность, с высокой степенью точности по сравнению с существующими алгоритмами и с более короткими наблюдениями за потоком. Например, путем сбора всего около 900 пакетов каждой цели потока трафика Tor (около 900 КБ данных трафика Tor), DeepCorr предлагает точность корреляции потока, приближающуюся к 96%, в отличие от 4% предыдущей известной системы RAPTOR, использующей ту же самую точную настройку.

Благодаря своим экспериментам в сети Tor разработчикам DeepCorr удалось доказать высокую производительность системы в широких масштабах. Они просмотрели лучшие 50 000 сайтов в сети Tor по версии Alexa.com и оценили все правильные и ложные показатели DeepCorr в соотношении входящих и исходящих сегментов записанных связей Tor. Эти наборы данных эксперимента являются самыми большими среди наборов о коррелированных потоках трафика Tor, доступных для общественности.

- Исследователи использовали в общей сложности 25 000 потоков, которые они собрали для проверки DeepCorr, хотя в своих предыдущих экспериментах, испытывая другие системы, они использовали только 5000 соединений потока. Было обнаружено, что испытание DeepCorr требует около одного дня с использованием одного графического процессора TITAN X, но было доказано, что оппонент должен повторно испытывать DeepCorr один раз в месяц, чтобы поддерживать свою корреляционную производительность.

- DeepCorr может использоваться как общая корреляционная функция. Производительность DeepCorr согласована для разных наборов тестовых данных с различными размерами и включает в себя потоки трафика, направленные по разным схемам.

- Производительность DeepCorr значительно превосходит предыдущие алгоритмы корреляции потока. Что еще более важно, DeepCorr имеет возможность коррелировать потоки Tor во время длительных наблюдений с коротким потоком по сравнению с длительностью наблюдений других систем наблюдения потока.

- С каждым последующим испытанием, эффективность работы DeepCorr с увеличением продолжительности наблюдений за потоком значительно улучшается.

- Время корреляции для той же целевой точности у DeepCorr значительно быстрее, чем у предыдущих систем. Например, для каждой корреляции DeepCorr требуется 2 мс, тогда как для RAPTOR требуется более 20 мс, когда оба нацелены на точность 95% при идентичном наборе данных.

Разработчики DeepCorr надеются на то, что новая система серьезно обеспокоит общество по поводу возрастающего риска крупномасштабного анализа трафика на коммуникациях Tor с учетом новых алгоритмов глубокого изучения. DeepCorr можно измерить путем внедрения методов обфускации трафика, в том числе тех, которые развернуты транспортными протоколами Tor, для всех потоков его трафика. Разработчики DeepCorr оценили свою производительность на каждом из реализованных в настоящее время подключаемых транспортных протоколов Tor, и это показало, что obfs4-iat0 не обеспечивают защиту от корреляционных атак DeepCorr, в то время как obfs4-iat1 это уже под силу. Стоит отметить, что ни один из этих методов обфускации в настоящее время не реализуется публичными узлами ретрансляции Tor; однако obfs4-iat1 реализуется небольшим процентом мостов Tor. Это требует разработки эффективных методов обфускации трафика, которые должны быть реализованы ретрансляторами Tor, и не навязывать большую пропускную способность и эксплуатационные накладные расходы на коммуникации Tor.

Несмотря на то, что DeepCorr представлен как корреляция потока в сети Tor, он также может использоваться для корреляции сетевых потоков в других приложениях корреляции потока. Чтобы доказать это, авторы статьи также применили DeepCorr к проблеме обнаружения стартовых площадок, что показало, что DeepCorr превосходит алгоритмы обнаружения предыдущих стартовых площадок в ненадежных сетевых настройках.

Чтобы быть вкурсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/joinchat/AAAAAEN6RYDtq2uLaMOeLQ